基于深度置信网络的网络安全态势感知与预测

高泽芳，胡娜

1 引言

网络安全态势感知是通过大数据的手段提取能够影响网络安全的关键要素，通过对关键要素的分析和预测来实现网络安全状态的预测。该技术作为下一代网络安全技术的焦点，得到了很多研究者的追捧。谢丽霞等人[1]提出一种结合BP神经网络和RBF神经网络的网络安全态势预测方法，该方法在一定程度上解决了要素与评估结果的不确定性。孟锦等人[2]利用RBF网络来获取态势值，并采用相关的方法来优化神经网络以此获得网络隐含层的宽度，从而快速获取神经网络结构的参数。尤马彦等人[3]采用Elman模型对构建的加权态势矩阵进行处理并实现安全态势的预测。Zhang S[4]通过对不同层次的数据运用不同层次的安全态势模型进行数据分析和检测，综合不同层次的安全态势值进行网络安全态势的预测。

上述研究大部分都采用一种监督的手段来实现网络安全态势的预测，也就是通过人为设定影响网络安全因素的标签，采用人工智能或者机器学习的方法对不同的网络安全标签进行训练，找到关键要素和评估结果的关系，最后通过实时检测关键要素的状态来实时预测网络安全状态。这种监督性模型训练的准确度极大程度上依赖标签标定的结果，除此之外，监督性模型的训练需要大量的标签数据，因此面对大规模、非确定性的网络攻击，上述模型对网络安全态势的预测能力是有限的。

本文针对上述模型的缺点，提出基于深度置信网络的网络安全防御技术，即采用多层玻尔兹曼机对网络的数据进行特征降维并提取影响网络安全的关键因素，在对数据进行特征提取之后，根据特征之间的相似性对相似特征类别的数据赋予相同的标签，然后再深度置信网络的最后一层添加softmax分类器，以便实现对网络安全的预测。该方法是采用非监督的手段，在计算机的特征提取的基础上对相同类别的特征进行标识，不仅能够提高模型的精度，还大大降低训练模型的复杂度。

2 计算机网络安全

2.1 计算机网络面临的安全威胁

计算机网络安全主要是指网络数据信息的安全。众所周知，计算机网络技术的应用一般以各种程序为载体，程序的运行过程中会产生诸多的数据信息，因此，从某种程面上，计算机网络安全技术就是保证各种程序所产生的网络数据信息不遭受丢失、泄漏以及破坏。当前在计算机网络面临的主要安全威胁有：病毒及木马、漏洞、DDOS攻击以及数据盗窃等。

2.2 计算机网络安全防护

针对计算机网络面临的安全威胁，本文针对传统的安全威胁列举一些常见的计算机网络安全防护策略。

（1）系统优化和定期杀毒

用户通过下载杀毒软件并让其在后台运行，定期更新软件，清理系统垃圾。一旦计算机发现用户文件遭受破坏，杀毒软件并会启动自动杀毒功能并快速回复受到破坏的文件，以保证文件的可用性和完整性。

（2）身份认证机制

身份认证是计算机网络安全防护的重要策略，包括动态口令认证和动态口令认证。目前为了加强威胁来访者的辨识能力，一般使用混合口令认证的方法，比如：动态口令+动态口令、SUBKey+静态口令、二层静态口令等。

上述的安全防护策略是一种被动式的安全策略，面对新的网络入侵行为显得“无动于衷”，本文介绍一种新的网络安全态势感知与预测方法，能够快速识辨别一些新的网络入侵行为，从未更加有效保证计算机网络的安全。

3 深度置信网络的特征提取方法研究

3.1 深度置信网络原理介绍

深度置信网络（DBN, Deep Belief Network）最开始由Hiton等人提出的，深度置信网络实质上是由若干个受限玻尔兹曼机（RBM, Restricted Boltzmann Machine）串联起来构成的，上一层的受限玻尔兹曼机作为下一层受限玻尔兹曼机的显示层，上一个的输入作为下一个的输出。在训练过程中通过充分训练上一层的RBM才能训练下一层的RBM，通过一层有监督的反向传播实现输入值与输出值的映射，通过权重和置信参数的调节，实现输入等于输出，训练结束。

DBN的网络结构图如图1所示。

如图1的DBN训练模所示，DBN的训练过程分为两步：

（1）DBN通过正向传播和反向传播双向连接其中的权值，显层神经元被隐层神经元激活，隐含层的神经元越来越少，确保不同的特征向量映射到不同的特征空间的同时，也实现了高维空间向低维空间的映射。

（2）为了满足输入值的特征向量近似等于输出值的特征向量，DBN通过正向传播和反向传播中不断调节权值实现无监督训练：每一层RBM只能确保该层的特征向量映射达到最优，却不能保证整个DBN的特征向量映射达到最优，因此，通过反向传播把误差信息自上而下传到每一层的RBM，以实现权值和偏置的最优。

上述的网络训练步骤，第一步主要是特征提取，通过把高维数据向低维数据的映射，实现有效特征的提取。第二步主要是深度置信网络的参数训练，通过在多层的RBM之间进行特征的映射达到最优，实现参数的调节。

图1 DBN结构图

3.2 基于深度置信网络的特征提取模型

（1）RBM模型参数学习过程

假设RBM模型有2层，v作为模型显示层的权值，在该模型中可理解为可视层的权值，显示层中每一个事件输入一般用固定长度的向量表示。中间隐含层的权值则用h来表示，任意两个相连的神经元之间有一个权值w表示其连接的强度。每一个神经元自身都有一个显层神经元的偏置系数b和一个隐含层神经元的偏置系数c来扩充分类的范围。由于RBM是一个受限玻尔兹曼机，这个受限是指能量受限，因此，用以下函数表示一个RBM的能量：

当显示层被输入一个固定的向量时，对于下一个RBM，隐含层的神经元hi被激活的概率为：

由于反向传播双向连接，因此，同理，显示层被隐含层神经元激活，神经元vi被激活的概率为：

其中，σ为Sigmoid函数。

由于同一层神经元之间具有独立性，概率分布密度满足独立性，因此其概率可以表示为：

当一个向量输进模型后，每一个隐含层的神经元被激活的概率为P(hj|x)，取一个0～1的随机函数u作为阈值，大于阈值的被激活，反之，神经元不被激活。从上述的概率分布中采取Gibbs抽取一个样本：

通过h1重构显示层的表示，同理从概率分布中采取Gibbs抽取一个样本：

再通过v2计算隐含层每一个神经元被激活的概率，采取Gibbs抽取一个样本：

通过正向和反向传播，当λ(P(h1|v1)v1-P(h2|v2)v2)无限接近于0时，参数W就停止迭代。同理v1与v2无限接近时，显示层的偏置b就趋于稳定，h1与h2隐含层的偏置c就趋于稳定。更新后的权值和偏置表达式为：

经过多次的正向和反向传播之后，隐含层的神经元能够映射显示层的特征，而且由于隐含层的神经元数量一般比显示层的神经元数量少，因此得到了“数据压缩”的效果，实现了高维空间向低维空间映射的目的。

将上述的RBM“串联”起来，最终形成一个DBN，作为一个无监督框架，最终生成一个原始数据的学习表示。

（2）网络安全态势的学习表示

基于深度置信网络的网络安全态势的学习分为以下几个步骤：

1）数据预处理

影响网络安全的数据集包括4大类：基本属性集、内容属性集、连接行为属性集、基于主机的属性集，分别如表1、表2、表3、表4所示：

表1 基本属性集

表1是网络连接的基本属性集，记录网络连接的基本属性，共有9个特征；表2是记录网络连接的内容属性，这些属性能够检测出不是疆场数显的隐蔽性攻击，研究人员通过分析登录失败次数便可以发现入侵的攻击行为，共有13个特征；表3是网络连接行为的属性集，描述在一个连续时间段内网络连接的统计量，研究人员能够分析网络连接行为的分布便可以发现一些异常的入侵行为，共有9个特征；表4是基于主机流量统计属性集，能够反映流量与行为的关联性，共有10个特征。

2）数据向量化表示

如图2所示，由于输入的数据集是数字型数据和符号型数据的组合，为了能够有效表示有效的数据集，不仅需要对符号型数据进行数值化，还需要对数据型的数据进行归一化处理，化为无量纲的表达式，降低原始数据各维度之间的差异。

表2 内容属性集

表3 连接行为属性集

由于protocol_type的字符特征有3个符号，采用热编码的特征映射为3维。service的字符特征有66个字符特征，采用热编码的特征映射为66维。flag有11个符号，采用热编码的特征映射为11维。结合数字型特征的组合，原来的41维数据转化成118维的向量，通过归一化的操作，每一维的向量在[0, 1]之间。

3）基于深度置信网络的网络安全态势的学习表示

深度置信网络实际上是一个概率生成模型，隐藏的单元通过训练去捕捉在可视层表现出来的高阶数据的相关性：

一般来说，基于深度置信网络的网络安全态势的学习表示可用最后一个隐含层生成一个概率分布P(hl-1|hl)来表示。考虑到最后一层隐含层来表示原始数据会丢失一些信息，因此，本文采用倒数第二层和最后一层隐含层信息共同表示网络安全态势：

其中，S表示学习表示的向量；l表示最后一层隐含层；l-1表示倒数第二层隐含层；m表示概率向量；p表示最后一层隐含层的神经元数量；q表示倒数第二层的神经元数量。

3.3 深度置信网络的安全态势感知与预测

（1）攻击行为数据的标识

表5展现了各种网络的攻击行为，一般来说，网络攻击行为被分为Dos（拒绝服务攻击）、Probe（扫描攻击）、R2L（来自远程主机的未授权访问）、U2R（未授权的本地超级用户特权访问），本文将上述的攻击行为的标签设置为1、2、3、4。本文将网络攻击行为作为深度置信网络的输出向量，以此来微调整个网络的权值。

表5 攻击行为的标识

结合上述多个RBM对网络安全态势的学习表示，深度置信网络的安全态势感知与预测模型可用图3表示。

4 实验与分析

本文采用本公司真实的网络监控数据集评估DBN算法与传统的SVM算法在速度和精度上的差距。通过对数据进行预处理后，采用DBN作为特征降维之后，在最后一层的隐含层加上softmax层进行分类，传统的SVM方法则直接对预处理的数据进行学习分类。本次训练通过获取1万条历史数据进行模型的训练和测试，以下分别用不同比例的训练数据进行训练，得到对应测试集的准确率和预测耗费时间的结果如表6所示：

表6 不同算法的准确率和耗费时间对比

图3 深度置信网络的安全态势感知与预测模型

通过实验对比，在特征提取后采用softmax层实现分类的DBN算法，较传统的SVM在很大程度上提升了网络入侵的识别能力，在运行速度方面，由于采用特征提取之后的DBN实现了高维空间向低维空间的映射，在分类的过程中低维空间具有很高的识别度，因此在运行速度上具有很大的优势。因此，基于深度置信网络的网络态势感知和预测模型能够极大提高了网络入侵的检测能力。除此之外，由于采用DBN的特征提取方法能够有效识别网络正常行为和异常行为的特征，当出现一种新的入侵行为时，DBN仍然能够从其隐含层提取其概率向量的分布，通过概率分布能够快速识别出行为的异常，方便网络管理人员快速定位和发现新的攻击行为。

5 结束语

深度置信网络作为一种新的网络安全态势感知与预测模型，通过将其与传统分类方法进行对比发现，由于其在特征降维方面表现出优异的性能，因此其在模型的识别准确率和速度上相比传统方法具有巨大的优势。本文提出的一种基于深度置信网络的网络安全态势感知与预测模型作为一种非监督的检测模型，能够有效提取正常网络行为和异常网络行为的特征，根据特征的分布能够有效识别新的攻击行为。因此，该模型极大提高了网络网络安全态势感知与预测的速度，是一种有效的、可靠的网络安全态势感知与预测模型，为网络安全态势的构建提供了一种新的思路。